Końca cyberataków nie widać
Rosnąca liczba ataków cybernetycznych w Polsce to nie tylko efekt wzmożonej działalności hakerów w trakcie wojny wywołanej przez Rosję w Ukrainie. Równie ważnym aspektem większego zainteresowania uderzeniami w polskie firmy czy administrację jest profesjonalizacja tego procederu. Ataki cybernetyczne coraz rzadziej są przeprowadzane „na ślepo”. Stoją za nimi wyspecjalizowane grupy, także te powiązane z nieprzyjaznymi Polsce krajami, które w sposób ukierunkowany prowadzą je tak, aby były najbardziej skuteczne. To cyberbiznes obracający wieloma milionami dolarów, dysponujący potężnym zapleczem kadrowym, dedykowanymi call center zatrudniającymi po kilkaset osób. Firmy muszą być gotowe na starcie z każdym przeciwnikiem w cyfrowym świecie.
Więcej zgłoszeń i wyższa świadomość
Według najnowszych danych CSIRT NASK (Computer Security Incident Response Team) w marcu 2022 r. odnotowano 15,6 tys. zgłoszeń dotyczących potencjalnych naruszeń cyberbezpieczeństwa. Są one wysyłane do NASK zgodnie z przepisami przez ok. 60 tys. podmiotów, wliczając w to operatorów usług kluczowych, dostawców usług cyfrowych czy podmioty publiczne. W porównaniu z marcem 2021 r. oznacza to wzrost aż o 130 procent. Eksperci z CSIRT NASK zwracają jednak uwagę na ważną kwestię.
– Liczba incydentów zwiększyła się tylko o 28 proc. Liczba zgłoszeń nie odpowiada dokładnie liczbie incydentów, ponieważ więcej osób czy podmiotów może zgłaszać ten sam incydent – np. kopię tej samej wiadomości będącej próbą oszustwa. Zdarza się też, że zgłaszane są podejrzane sytuacje, które po sprawdzeniu okazują się nie być incydentami. Interpretujemy to jako systematyczny wzrost poziomu świadomości zagrożeń i chęci zgłaszania niepokojących sytuacji do CSIRT NASK, co nas cieszy – informuje Joanna Lesiak z biura prasowego NASK.
Tego typu masowe ataki z jednej strony mogą bezpośrednio uderzać w firmy i klientów. Z drugiej powinny być sygnałem alarmowym dla przedsiębiorstw. Absolutnie nie może to być przyczynek do ograniczenia obecności w sieci czy wykorzystania innowacyjnych technologii w bieżącej pracy. Rozwiązania technologiczne powinny wspomagać przedsiębiorstwo w ocenie ryzyka i wdrożeniu odpowiednich rozwiązań zapobiegających atakom bądź niwelującym ich efekt. Pojawiająca się od czasu do czasu teza, że cyberataki mogą być nawet powodem hamowania inwestycji w cyfrową rewolucję zarówno przez firmy, jak i instytucje publiczne, nie jest poparta faktami.
– Obserwujemy wiele ataków wymierzonych w komunikację elektroniczną firm z klientami, np. fałszywe powiadomienia o przesyłce. Firmy kurierskie są w ten sposób nieustannie „atakowane”. Takie sytuacje skłaniają raczej do budowania współpracy i inwestycji w architekturę bezpieczeństwa, od infrastruktury po kadrę oraz procesy i procedury, a także w edukację klientów, którą prowadzą firmy kurierskie, banki, operatorzy usług telekomunikacyjnych, platformy sprzedażowe i wiele innych podmiotów. Nie hamuje to ich inwestycji w nowe cyfrowe usługi i rozwiązania – zauważa przedstawicielka NASK.
Biznes analizuje i szuka rozwiązań
Kilka dni temu został opublikowany raport CERT Orange Polska (Computer Emergency Response Team) za rok 2021. Jak zapewniają jego twórcy, setki milionów zablokowanych zdarzeń phishingowych w ciągu roku pokazują nie tylko rosnącą skalę zagrożeń, ale także to, że instytucji CERT Orange udaje się je coraz skuteczniej wykrywać. Pomagają w tym uczenie maszynowe i sztuczna inteligencja. Orange wskazuje m.in., że dzięki CyberTarczy, czyli specjalnym rozwiązaniom przeciwdziałającym atakom hakerskim, powstrzymał w swojej sieci ponad 335 milionów incydentów phishingowych powiązanych m.in. z wyłudzaniem danych logowania do kont bankowych lub profili społecznościowych. Incydenty bezpieczeństwa obsłużone przez CERT Orange Polska to m.in. „gromadzenie informacji”, czyli podejmowanie działań mających na celu uzyskanie informacji o systemie lub sieci bądź ich użytkownikach, zmierzających do nieautoryzowanego dostępu. Równie ważne są kwestie ataków poprzez złośliwe oprogramowanie czy blokowanie zasobów sieciowych. Zdaniem szefa CERT Orange Polska kolejne miliony incydentów nie hamują rozwoju cyfrowej transformacji, ale właśnie ją napędzają.
– Staramy się być zawsze o krok przed cyberprzestępcami zarówno w kwestii ochrony użytkowników indywidualnych, jak i firm. Zwiększenie liczby ataków phishingowych podczas pandemii, spowodowanych m.in. zmianą stylu życia – przejściem na pracę zdalną czy większymi zakupami przez internet – zachęciło nas do stosowania nowych rozwiązań i ulepszania już używanych – mówi Robert Grabowski, szef CERT Orange Polska.
Z kolei na przykład CERT T-Mobile informował klientów w 2021 roku o zmasowanych atakach phishingowych w postaci masowo rozsyłanych SMS-ów, przekierowujących m.in. do nielegalnej strony z grami hazardowymi. Wiadomość zachęcała do zdobycia bonusów powitalnych i kliknięcia linku, który następnie odsyła do domeny internetowego kasyna. Działalność takich stron, zgodnie z nowelizacją ustawy hazardowej z 2017 roku, jest nielegalna.
W ostatnich miesiącach pogłębił się problem rzekomych inwestycji. Cyberprzestępcy tworzą fałszywe strony, a nawet reklamy w Google, których głównym celem jest podszywanie się pod znane marki i firmy na rynku, jak na przykład Cyfrowy Polsat czy PKN Orlen. Pod przykrywką wysokich zwrotów z inwestycji oszuści próbują wyłudzać dane użytkowników poprzez specjalnie spreparowane formularze.
Zagrożeni klientów banków
Nie ma dnia, aby CSIRT Komisji Nadzoru Finansowego nie ogłaszał za pośrednictwem kanałów społecznościowych prób ataków phishingowych czy podejrzanych stron, grożących utratą danych dostępowych do kont bankowych czy pieniędzy. Tylko w 2021 roku CSIRT KNF zgłosił do blokady ponad 11,4 tysiąca niebezpiecznych domen. Chodziło o fałszywe portale ogłoszeniowe, usługi kurierskie czy inwestycje. Ponad tysiąc domen podszywało się pod strony bankowe, a niemal 330 pod bramki płatności, co mogło narazić użytkowników sieci bezpośrednio na utratę pieniędzy. Według KNF liczba cyberataków i ich różnorodność stale rośnie, dotyczy to zwłaszcza klientów instytucji finansowych.
– Do intensyfikacji działań grup cyberprzestępczych przyczyniła się w dużej mierze pandemia COVID-19, która w oczywisty sposób wpłynęła na zachowania konsumentów. Ludzie ograniczeni obostrzeniami przenieśli swoje działania konsumenckie do internetu, wykorzystując to medium jako kanał do robienia zakupów czy dokonywania płatności. Ataki na klientów są coraz lepiej zorganizowane i dokładniej planowane. Przeprowadzane są najczęściej przez zorganizowane międzynarodowe grupy cyberprzestępcze – zauważa Jacek Barszczewski, dyrektor departamentu komunikacji społecznej Komisji Nadzoru Finansowego.
Są to w głównej mierze ataki socjotechniczne, które podlegają ciągłej ewolucji i modyfikacjom – od scenariuszy oszustw dotyczących inwestycji w kryptowaluty przez wykorzystanie serwisów sprzedażowych, fałszywe telefony od przestępców podszywających się pod pracowników banków, fałszywe strony bankowości elektronicznej, dystrybuowane różnymi kanałami złośliwe oprogramowanie (zarówno na komputery stacjonarne, jak i urządzenia mobilne), podszywanie się pod instytucje zaufania publicznego, znane firmy, organy państwa aż po spam wysyłany drogą mailową, zawierający np. linki do fałszywych sklepów internetowych, przez które cyberprzestępcy wykradają poświadczenia klientów do bankowości elektronicznej.
– Ewolucja scenariuszy ataków jest procesem stałym, cyberprzestępcy dostosowują je do zachowań klientów, sytuacji na rynku, na świecie (np. wcześnie oszustwa związane ze szczepionkami COVID-19, teraz fałszywe zbiórki dotyczące pomocy obywatelom Ukrainy) oraz nowych produktów i usług oferowanych w internecie. W ostatnim czasie także napięta sytuacja geopolityczna związana z wojną w Ukrainie wpłynęła na wzmożoną aktywność w polskiej cyberprzestrzeni osób próbujących destabilizować funkcjonowanie np. poszczególnych podmiotów sektora finansowego. Jednak rygorystyczne wymogi w zakresie cyberbezpieczeństwa dotyczące tych podmiotów przyczyniły się w ostatnich latach do osiągnięcia i utrzymywania wysokiego poziomu odporności polskiego rynku finansowego na potencjalne cyberataki. Podmioty rynku finansowego mają profesjonalne i wyspecjalizowane zespoły reagowania na tego rodzaju incydenty – zauważa Jacek Barszczewski.
W 2022 lepiej nie będzie
Nie ma żadnych przesłanek, aby sądzić, że w najbliższych latach liczba cyberataków w widocznym stopniu się zmniejszy. Przede wszystkim dlatego, że ich koszty nadal są niewielkie, także dzięki wykorzystaniu przez cyberprzestępców innowacyjnych rozwiązań. Nadal są też skuteczne. Ataki phishingowe są uważane za najprostsze do rozpoznania, jednak wiele osób nabiera się nadal na spreparowane linki prowadzące do fałszywych stron, formularzy czy aktywujące niebezpieczne oprogramowanie.
– Każde innowacyjne rozwiązanie czy nowa usługa to również ryzyko, nowe wektory ataku i potrzeba ochrony. Bez względu na otoczenie, w którym przyszło nam to ryzyko podejmować, musimy zapewnić odpowiedni poziom bezpieczeństwa. Uważam, że czas, kiedy firmy i instytucje omijały cyberbezpieczeństwo, bardzo szybko się kurczy. Naiwnym jest myśleć, że można stabilnie i w długim okresie prowadzić tak działalność, nie mówiąc już o pionierskich wdrożeniach nowych technologii – mówi Robert Grabowski.
Jego zdaniem cyberataki nie ustaną. Będą się zmieniać, ewoluować, zaskakiwać, ale nigdy się nie skończą we współczesnym zinformatyzowanym świecie. Orange w swoim raporcie wśród trendów na 2022 rok szczególną uwagę zwraca na giełdy kryptowalut. Chodzi zarówno o ataki na użytkowników, jak i same giełdy.
– Zwiększy się też liczba złośliwego oprogramowania dla urządzeń mobilnych i utrzyma się poziom ataków na użytkowników platform sprzedażowych (oszustwa „na kupującego”). Spodziewamy się także ataków DDoS (z wielu miejsc, uniemożliwiających działanie firm – red.) o dużym wolumenie, m.in. na sektor bankowy, oraz ataków na cyfrową tożsamość, np. przechwytywanie dostępów pracowników do infrastruktury firm – podsumowuje Robert Grabowski.
LICZBA ZDARZEŃ OD 1 MARCA 2021 R. DO 31 MARCA 2022 R.
komentarz
Pozostało jeszcze wiele do zrobienia
Artur Piechocki radca prawny, partner zarządzający w kancelarii APLAW
Odpowiedź na pytanie, czy ataki hakerskie hamują rozwój transformacji cyfrowej, nie może być jednoznaczna. Z jednej bowiem strony konieczność poniesienia przez przedsiębiorców i administrację nakładów finansowych i zaangażowanie ludzi do zabezpieczenia przed atakami uniemożliwia ich wykorzystanie w innych miejscach, z drugiej jednak zagrożenia takimi atakami wymuszają tworzenie coraz doskonalszego i odpornego oprogramowania oraz systemów. Przedsiębiorcy sami kupują usługi testów penetracyjnych, których celem jest odszukanie błędów i „dziur” w ich systemach i zabezpieczeniach – dokładnie w taki sam sposób działają cyberprzestępcy. W ten sposób dokonuje się zatem postęp. Nie będzie przesadą, jeżeli stwierdzimy, że mamy do czynienia z pewnego rodzaju wyścigiem zbrojeń świata cyberprzestępców z przedsiębiorcami i rządami. Im doskonalszy malware czy ataki typu Distributed Denial of Service (DDoS) na infrastrukturę, tym lepiej przygotowani są oni do ich odparcia przy stosowaniu oprogramowania monitorującego zagrożenia typu SIEM czy korzystanie z Security Operation Centers, zapewniające kilka linii wsparcia, zarówno przed incydentami (I linia), podczas ich trwania (II linia), jak i po wystąpieniu (III linia, która obejmuje również informatykę śledczą).
Ramy dla cyberbezpieczeństwa tworzy obecnie głównie unijna dyrektywa Network Information Security (NIS), której implementację w polskim prawie stanowi ustawa o krajowym systemie cyberbezpieczeństwa. Zarówno dyrektywa, jak i ustawa będą wkrótce zmienione, aby sprostać zmieniającym się wyzwaniom. Istotna zmiana dotyczy m.in. rozszerzenia zakresu podmiotowego tych aktów prawnych. Okazało się, że ograniczenie do infrastruktury krytycznej i dostawców usług cyfrowych nie odpowiada obecnym warunkom gospodarczym. Wielość powiązań w ramach łańcuchów dostaw powoduje, że już nie tylko operatorzy usług kluczowych, np. energetyka, banki, ale również podmioty, które wykonują dla nich usługi, powinni zostać objęci obowiązkami prawnymi. W jaskrawy sposób znaczenie dostawców usług dla podmiotów zobowiązanych pokazują m.in. naruszenia z obszaru ochrony danych osobowych. Wiele z nich polegało na wycieku danych lub ich kradzieży niekoniecznie u samych administratorów danych, lecz podmiotów, które obsługiwały ich informatycznie.
Realizację cyberbezpieczeństwa powierzono zarówno instytucjom unijnym, np. ENISA (European Network and Information Security Agency), jak i krajowym. Szczególne znaczenie mają tzw. CSIRT, czyli centra reagowania i obsługi incydentów z zakresu cyberbezpieczeństwa, z wiodącą rolą CSIRT NASK, gdzie można zgłaszać wszystkie incydenty, szczególnie dotykające przedsiębiorców. Wieloletnie doświadczenie NASK oraz zespół profesjonalistów zapewniają dobrą obsługę zgłoszeń. Niestety, w wielu przypadkach dokonywane są one zbyt późno albo nie ma szans na odwrócenie ataku, którego skutkiem był np. przelew znacznych sum na rachunek bankowy w kraju, w którym trudno ścigać przestępców, albo na podstawione osoby, dokonujące następnie wypłat gotówki przy pomocy kart płatniczych. W takich sytuacjach konieczne jest współdziałanie instytucji bankowych i Policji. W zakresie skuteczności reakcji organów ścigania i współpracy po stronie banków wydaje się, że jest jeszcze dużo do zrobienia.